Claude Code 源碼泄漏，全部細節與始末

Leak

2026 年 3 月 31 日，安全研究員 Chaofan Shou 發現 Anthropic 的 Claude Code 全部源碼通過 npm 包里的一個 source map 文件暴露在了公網上

Chaofan Shou 在 X 上公布了泄露發現

1,900 個 TypeScript 源文件，512,000 行代碼，從工具系統到權限模型到未發布功能，全部以未混淆的原始形態公開可下載。泄露的具體版本是 @anthropic-ai/claude-code v2.1.88

幾個小時之內，源碼被多人備份到 GitHub。其中最大的一個備份倉庫 instructkr/claude-code，一個小時內漲到 11,300 star 和 17,300 fork，568 個 issue

一個小時，一萬 star。fork 數比 star 數還多，大家的第一反應是先存一份

instructkr/claude-code 的 star 增長曲線，一小時內突破萬星

GitHub 倉庫，一小時 11.3k star, 17.3k fork, 568 issues

npm 的 3 月 31 日：兩件事，不是一件

這一天 npm 生態同時出了兩件事。很多人看到「npm 投毒」「Claude Code 泄露」混在一起討論，容易搞混。這里先理清楚

第一件事是 axios 被供應鏈攻擊。axios 是 JavaScript 生態里最常用的 HTTP 客戶端庫之一，每周下載量超過 1 億 次。攻擊者劫持了 axios 主要維護者 jasonsaayman 的 npm 賬號，把賬號郵箱改成了一個 ProtonMail 地址，然后發布了兩個帶毒版本：1.14.1 和 0.30.4

這兩個版本本身沒有惡意代碼。它們做的事情是在依賴里加了一個叫 plain-crypto-js 的包，這個包會在安裝時自動執行一個腳本，往你的機器上投放一個遠程訪問木馬（RAT），支持 macOS、Windows、Linux 三個平臺。執行完之后自動刪除自身，替換成干凈的 package.json

這次攻擊的時間線很精密：3 月 30 日先發布了一個干凈的 plain-crypto-js@4.2.0 建立可信度，18 小時后發布帶毒的 4.2.1 版本，再過 20 分鐘發布帶毒的 axios@1.14.1，又過 39 分鐘發布 axios@0.30.4。安全公司 StepSecurity 稱這是針對 npm Top 10 包的「最具操作精密度的供應鏈攻擊之一」

帶毒版本在 npm 上存活了大約兩到三個小時后被移除

第二件事是 Claude Code 源碼泄露。這跟 axios 投毒沒有關系，是兩個完全獨立的事件。只不過恰好發生在同一天、同一個包管理器上

同一天，同一個包管理器，一個被攻擊，一個自己漏了

怎么泄露的

泄露的原因很簡單

當你用 JavaScript/TypeScript 開發一個 npm 包時，構建工具通常會生成 source map 文件（.map 文件）。這個文件的用途是把打包壓縮后的代碼映射回原始源碼，方便調試時定位問題。source map 文件里有一個 sourcesContent 字段，直接包含了每一個原始源文件的完整內容

正常情況下，.map 文件不應該出現在發布到 npm 的生產包里。你需要在 .npmignore 里排除它們，或者在構建配置里關閉 source map 生成

Claude Code 使用 Bun 作為打包工具。Bun 的打包器默認生成 source map，除非你顯式關掉。這次泄露的直接原因，據社區分析，大概率是構建流水線里沒有做好 .map 文件的清理，發布時把一個 59.8 MB 的 source map 文件一起發到了 npm registry

Claude Code npm 包中暴露的源文件列表

源碼里面有什么

從外面看，Claude Code 是一個終端里的 AI 編程助手，你在命令行里輸入自然語言，它幫你改代碼、跑命令、管理 Git 工作流

從源碼看，這個工具的工程復雜度遠超一個 CLI 包裝器。入口文件 main.tsx 有 785KB，整個代碼庫包含 40 多 個獨立的工具模塊、一個 46,000 行的查詢引擎、多 Agent 編排系統，以及多個尚未公開發布的功能

工具系統：40 多個權限控制的工具

Claude Code 的每一項能力都被封裝成一個獨立的工具模塊，放在 tools/ 目錄下。每個工具定義了自己的輸入格式、權限模型和執行邏輯

已公開的核心工具包括：文件讀寫和編輯、Shell 執行（支持沙箱）、文件搜索、網頁訪問、Jupyter 筆記本編輯、子 Agent 調度、LSP 通信、MCP 資源訪問等

工具的權限系統分為四個模式：default（交互式逐次詢問用戶）、auto（通過 ML 分類器自動決策）、bypass（跳過檢查）、yolo（拒絕所有）。每個工具動作被分為低、中、高三個風險等級

查詢引擎：46,000 行

query/ 目錄是整個代碼庫里最大的單一模塊，負責所有 LLM API 調用、流式傳輸、緩存和編排

系統提示詞采用模塊化設計，把提示詞分成靜態段（可跨用戶緩存）和動態段（每次會話獨立生成）。有一個函數叫 DANGEROUS_uncachedSystemPromptSection()，從命名就能看出來有人在這上面踩過坑

Dream 記憶系統：Claude 的「做夢」

services/autoDream/ 下有一個叫 autoDream 的后臺記憶整合引擎

它的工作方式是這樣的：當三個條件同時滿足的時候（距上次執行超過 24 小時、至少經歷了 5 次會話、成功獲取了整合鎖），系統會啟動一個后臺子 Agent，對記憶文件做一次整理。這個子 Agent 只有只讀權限，不能修改項目文件

整理分四步：先讀取記憶目錄和現有記憶文件，然后從最近的日志和會話中提取新信息，接著更新或合并記憶文件（把相對日期轉成絕對日期、刪除過時信息），最后做裁剪，保持在 200 行以內

源碼里的提示詞：「你正在做一次夢，對記憶文件做一次反思性的回顧。把你最近學到的東西整合成持久的、組織良好的記憶，方便未來的會話快速定位」

KAIROS 模式：常駐后臺的 Claude

assistant/ 目錄下有一個叫 KAIROS 的模式，外部版本里完全不存在

從代碼看，KAIROS 是一個持續運行的后臺助手。它不需要你主動輸入，會通過定時的 信號自主決定是否采取行動。它維護著一個只追加的每日日志文件，記錄觀察、決策和操作

這個模式有一個 15 秒 的阻塞預算限制：任何可能打斷用戶工作流的主動操作，如果執行時間超過 15 秒，會被延后

KAIROS 有三個普通 Claude Code 沒有的專屬工具：SendUserFile（給用戶推送文件）、PushNotification（發推送通知）、SubscribePR（訂閱 Pull Request 動態）

Coordinator 模式：多 Agent 編排

coordinator/ 目錄實現了一個完整的多 Agent 編排系統。開啟后，Claude Code 會從單個 Agent 變成一個調度器，同時管理多個工作 Agent 并行執行任務

工作流程分四個階段：Research（多個 Agent 并行調查代碼庫）、Synthesis（調度器匯總發現、制定方案）、Implementation（Agent 按方案執行修改并提交）、Verification（驗證修改是否生效）

調度器提示詞里有一條規則：「不要說"根據你的發現"，去讀實際的發現，然后精確地說明該做什么」

ULTRAPLAN：遠程規劃

一個把復雜規劃任務卸載到遠程云容器的模式。它會啟動一個運行 Opus 4.6 的遠程會話，給它最多 30 分鐘 思考時間。本地終端每 3 秒輪詢一次結果，同時有一個瀏覽器界面讓你實時查看和審批規劃方案

Buddy：終端里的電子寵物

buddy/ 目錄下有一個完整的電子寵物系統

它使用 Mulberry32 偽隨機數生成器，用你的 userId 哈希值作為種子，確定性地生成一個寵物。18 個物種分為 5 個稀有度等級：普通（60%）、不常見（25%）、稀有（10%）、史詩（4%）、傳說（1%）。在此之外還有獨立的 1% 閃光概率

每個寵物有 5 項屬性（DEBUGGING、PATIENCE、CHAOS、WISDOM、SNARK），以 5 行高、12 字符寬的 ASCII 動畫渲染在你的輸入框旁邊

從代碼里的時間引用來看，計劃在 2026 年 5 月正式上線

Undercover Mode：內部員工的偽裝模式

utils/undercover.ts 里有一個功能，用來防止 Anthropic 內部員工在公共倉庫工作時暴露內部信息

開啟后，系統提示詞里會注入一段指令，要求 Claude 在 commit message 和 PR 描述中不要出現：內部模型代號（比如 Capybara、Tengu 等動物名）、未發布的版本號、內部項目名稱，以及「Claude Code」這個名字本身

代碼注釋寫著：「如果我們不確定是不是在內部倉庫里，就保持 undercover」

其他發現

→內部代號：Claude Code 的內部項目代號是 Tengu（天狗），大量特性開關以 tengu_ 為前綴。migrations 目錄還暴露了其他模型代號：Fennec（耳廓狐，某個 Opus 版本的代號）

→Fast Mode 的內部名稱是 Penguin Mode：API 端點字面寫著 claude_code_penguin_mode

→Computer Use 的內部代號是 Chicago：基于 @ant/computer-use-mcp 實現，限 Max/Pro 訂閱用戶使用

→ 未發布的 Beta 頭信息：包括 redact-thinking（隱藏思考過程）、afk-mode（離開模式）、advisor-tool（顧問工具）等

→ 客戶端認證：每個 API 請求都帶有 x-anthropic-billing-header，用于驗證請求來自正版 Claude Code 安裝

五天，兩次泄露

這已經是 Anthropic 五天內的第二次安全事故了

3 月 26 日，Fortune 報道稱 Anthropic 的 CMS（內容管理系統）發生配置錯誤，導致將近 3,000 個未發布的資產可以被公開訪問。這些資產里包含了一篇關于未發布模型 Claude Mythos（內部代號 Capybara）的草稿博客文章，以及一個面向歐洲 CEO 的閉門活動細節

Anthropic 確認了 Mythos 模型的存在，稱它是「能力上的階躍變化」和「我們迄今為止最強的模型」。據泄露的草稿，Mythos 定位在 Opus 之上，作為一個新的模型層級

Anthropic 將 CMS 事件歸因于「外部 CMS 工具的人為操作失誤」

5 天后，npm source map 泄露了全部源碼

兩次事故的共同點：都是配置層面的錯誤，都沒有涉及黑客攻擊或惡意行為

代碼結構一覽

claude-code/

├── assistant/ # KAIROS 常駐助手模式

├── bridge/ # IDE 橋接（VS Code / JetBrains）

├── buddy/ # 電子寵物系統

├── commands/ # Slash 命令（約 50 個）

├── components/ # React 終端渲染組件（約 140 個）

├── coordinator/ # 多 Agent 編排

├── memdir/ # 持久化記憶目錄

├── plugins/ # 插件系統

├── query/ # 查詢引擎（46K 行，最大模塊）

├── services/ # 服務層（含 autoDream 記憶整合）

├── skills/ # 用戶自定義技能

├── tools/ # 40+ 工具模塊

├── utils/ # 工具函數（含 undercover.ts）

├── voice/ # 語音輸入

├── main.tsx # 入口（785KB）

├── QueryEngine.ts # 查詢引擎核心

└── Tool.ts # 工具基類（29K 行）

事件時間軸

3 月 26 日

Anthropic CMS 配置錯誤，約 3,000 個未發布資產（包括 Mythos 模型草稿）被公開訪問。Fortune 報道后 Anthropic 修復

3 月 30 日 05:57 UTC

攻擊者發布干凈版本 plain-crypto-js@4.2.0

3 月 30 日 23:59 UTC

攻擊者發布帶毒版本 plain-crypto-js@4.2.1

3 月 31 日 00:21 UTC

使用被劫持的 npm 賬號發布帶毒的 axios@1.14.1

3 月 31 日 01:00 UTC

發布帶毒的 axios@0.30.4

3 月 31 日 約 03:15 UTC

帶毒的 axios 版本從 npm 移除

3 月 31 日

Chaofan Shou 發現 @anthropic-ai/claude-code v2.1.88 包含 source map 文件，指向完整源碼

3 月 31 日（1 小時內）

備份倉庫 instructkr/claude-code 突破 11,000 star，17,000 fork

截至發稿，Anthropic 尚未就源碼泄露事件發表公開回應

撰文：賽博禪心